PDA

View Full Version : سوال: کلاس امنیتی


Proshaat
سه شنبه 10 مرداد 1391, 13:01 عصر
من میخام یه کلاس امنیتی بنویسم که اگر کاربری خواست حمله sql injection انجام بده Ip کاربر به همراه رشته ای که تولید شده به همراه تاریخ و ساعت حمله در دیتابیس ثبت بشه و همچنین اون کاربر به مدت چند روز بلاک بشه که دیگه نتونه وارد سایت بشه.
من تا حالا تو زمینه امنیت کار نکردم
دوستان میتیپونید راهنمایی کنید؟
dousti_design
سه شنبه 10 مرداد 1391, 13:36 عصر
راه های مختلفی هست. مثلا اگه صفحت اینه:


example.com/index.php?id=10

میتونی یک if ساده بگذاری بگی که اگر id عدد نبود آی پی رو ب بلاک لیست اضافه کن و id رو هم سیو کن.
مونده به پیجت که پارامترهاش چی هستن
Unique
سه شنبه 10 مرداد 1391, 16:22 عصر
به خدا بعضی ایده ها شاهکار هستند ! شما بهتره جلوی injection را بگیرین نه اینکه کاربر را مجازات کنین ! آدم یاد مملکت مومنین و مومنات میفته که همه کار ها چپکی انجام میشه !
هکری که بدونه مشا بلاکش میکنین از روش هایی استفاده میکنه که شما نتونین شناسائیش کنین !
dousti_design
چهارشنبه 11 مرداد 1391, 19:24 عصر
به خدا بعضی ایده ها شاهکار هستند ! شما بهتره جلوی injection را بگیرین نه اینکه کاربر را مجازات کنین ! آدم یاد مملکت مومنین و مومنات میفته که همه کار ها چپکی انجام میشه !
هکری که بدونه مشا بلاکش میکنین از روش هایی استفاده میکنه که شما نتونین شناسائیش کنین !
اتفاقا توی نرم افزار ها و سایت هایی که از امنیت مناسبی برخوردار هستند کوئری های غیرعادی لاگ میشن تا ادمین سیستم بتونه قسمت هایی که مدنظر حمله کننده ها هستند رو شناسایی کنه. بلاک کردن عملا کار بی تاثیری برای فردی که متتخصصه هستش اما حداقلش تاثیر روانی هست. این که حمله کننده میفهمه که کوئری بررسی و حتی لاگ میشوند
Unique
پنج شنبه 12 مرداد 1391, 02:24 صبح
دوست عزیز منظور از sql injection اینه که یک کاربر با ارسال مقداری به query شما باعث بشه اون query در هر حالتی یک مقداری را برگدونه یا اینکه مقادیری را در پایگاه شما ثبت یا حذف کنه ! یا اینکه اگه مدیر سرویس دهنده شما خیلی ضعیف بود حتی بتونه فایل هایی را بخونه و یا اصلا چیزی را روی سرور شما Upload واجرا کنه !

شما اگه جلوی sql injection را با تکنیک های درستش بگیری و کاربری که داره از طریق اسکریپت شما به mysql متصل میشه دسترسی های محدودی داشته باشه ! مثلا نتونه drop کنه یا Alter بگیره ! و از همه مهمتر شما جلوی نمایش خطاهای سایت را بگیری ، و فقط خطا ها را توی فایل log داشته باشی که این فایل هم برای رفع Bug های سایت و هم همین حملات میتونه مفید باشه ! میشه گفت هیچ نیازی به کنترل ورودیها و log گرفتن اونها ندارین ! با ایم کار فقط process و بار الکی میگذارین روی سایتتون اما شدنش میشه !